 |
| iPhone đã jailbreak. Ảnh Sforum |
Công cụ "chèn video" cho phép đánh lừa xác thực sinh trắc học
Trang tin an ninh mạng CyberNews, dẫn nghiên cứu của iProov - công ty hàng đầu về xác thực sinh trắc học cho biết, các chuyên gia vừa phát hiện một công cụ mang tên “video injection attack” hoạt động trên iPhone đã jailbreak (bẻ khóa hệ điều hành để gỡ bỏ giới hạn bảo mật của Apple) chạy iOS 15 trở lên. Hacker sử dụng một máy chủ đặc biệt để chiếm quyền kết nối giữa camera và ứng dụng phần mềm, khiến ứng dụng như ngân hàng nhận luồng video deepfake do AI tạo ra, thay vì hình ảnh thật từ camera.
Trong khi người dùng vẫn nhìn thấy khuôn mặt thật trên màn hình, ứng dụng ở đầu bên kia bị đánh lừa hoàn toàn. Hậu quả là hacker dễ dàng vượt qua Face ID và thực hiện các giao dịch chiếm đoạt tài sản của nạn nhân.
Theo iProov, công cụ này có nguồn gốc từ Trung Quốc và đặc biệt nguy hiểm. Công cụ có thể dùng video giả do AI tái tạo lại khuôn mặt thật của nạn nhân để vượt qua các biện pháp xác thực sinh trắc học. Do tính tinh vi của video deepfake, người dùng khó nhận ra bị lừa trong lúc xác thực. Các chuyên gia khuyến nghị các ngân hàng và nhà phát triển ứng dụng tài chính cần tích hợp công nghệ kiểm tra tính sống động (liveness detection) nhằm xác minh người dùng đang thực sự tương tác với camera, chứ không phải là video do AI tạo ra.
Jailbreak là cửa mở cho tội phạm mạng
Nghiên cứu này nhấn mạnh, jailbreak iPhone có nhiều lỗ hổng nghiêm trọng, tạo điều kiện cho hacker khai thác bằng những công cụ tấn công tinh vi như video injection. Cài đặt những ứng dụng ngoài App Store và can thiệp hệ điều hành khiến thiết bị trở nên dễ bị tấn công, đặc biệt là nhằm vào các mục tiêu tài chính và dữ liệu cá nhân quan trọng
Người dùng nên tuyệt đối không jailbreak thiết bị, chỉ cài đặt các ứng dụng từ App Store. Thường xuyên cập nhật iOS để nhận các bản vá bảo mật mới. Trong thời đại deepfake ngày càng phổ biến, người dùng cần nâng cao cảnh giác khi sử dụng điện thoại di động.
Cảnh giác với những nguy cơ trên smartphone
Mặc dù Face ID từng được đánh giá cao về bảo mật, công cụ video injection attack mới của hacker đã chứng minh rằng sinh trắc học không phải là “vùng an toàn”. Các cơ quan chức năng và tổ chức tài chính cần chuẩn bị những biện pháp bảo mật tiên tiến để đối phó với những thủ đoạn tinh vi mới của tội phạm mạng.
An Lâm
Bình luận